[이슈분석] 클라우드 환경 사고 95% “고객 실수에서 기인”
상태바
[이슈분석] 클라우드 환경 사고 95% “고객 실수에서 기인”
  • 전유진 기자
  • 승인 2021.08.17 11:03
  • 댓글 0
이 기사를 공유합니다

클라우드 관심 높지만 보안 우려로 주춤…적절한 대응 체계 갖춰야

클라우드 생태계로의 IT 인프라 전환이 국내외 공공부문과 민간기업의 화두가 되고 있다. 특히, 지난해 온라인 개학을 시작으로 최근 네트워크 접속 불안정으로 이른바 ‘먹통 예약 시스템’으로도 불리던 코로나19 예방접종 사전예약 시스템을 민간 클라우드로 전환, 안정적으로 운영하는 데 성공하면서 클라우드에 관한 관심은 더욱 높아지고 있다.

 

가속화되는 클라우드로의 전환



제조, 금융, 자동차, 의료, 통신 등의 산업계에서는 이미 클라우드 전환이 발 빠르게 일어나고 있다. 대기업은 전환 작업이 한창이고, 스타트업 등 새로 생겨나는 기업들은 사업 초기부터 클라우드로 IT 인프라를 구축하고 있다.

넷플릭스도 당초 자체 서버를 운영했으나, 2015년 3월 넷플릭스가 하우스 오브 카드의 시즌 3을 공개하자 넷플릭스의 데이터 전송량이 30% 증가한 것을 계기로 폭증하는 시청자를 감당하기 위해 클라우드의 ▲탄력성 ▲확장성 ▲중복성 등을 근거로 2016년부터 AWS로 완전히 이주했다.

국내 민간 부문 금융 산업의 경우 보안, 안전성 이슈로 클라우드 전환에 신중함을 보이고 있으나 규제 완화 속에서 비중요 업무 영역을 중심으로 단계적으로 전환이 진행되고 있다. 먼저, 신한은행은 클라우드 기반으로 인공지능(AI) 플랫폼·서비스 개발 및 운영 환경을 구축하고 있으며, KB금융그룹 내외부 파트너들이 협업을 통해 클라우드 기반의 협업 플랫폼 클레온을 개발하고 있다. 또한, KEB하나은행은 국가 간 디지털 자산 관련 글로벌 통합 플랫폼을 클라우드로 구축·운영 중이다.

공공부문에서는 기존 지리 여건상 교수와 외부 강사 충원에 어려움을 겪었던 국방부가 원격교육 체계 클라우드를 구축하면서 시간과 장소 제약 없는 환경을 통해 약 30%의 예산을 절감했다. 아울러, 개방형 OS 사용으로 국가 정보 인프라의 외산 종속 문제가 해결되기도 했다.

 

 

클라우드 사고, 대부분 해커 아닌 이용자 실수로 발생


신속하고 편리한 운영 환경을 제공하며, 비용 효율성을 높인다는 점에서 클라우드는 이미 대세로 떠오르고 있으나, 아직 많은 기업이 클라우드의 보안성에 우려를 표하고 있다.

그러나 한국지능정보사회진흥원(NIA)이 발간한 ‘클라우드의 미래 모습과 보안(2020년)’ 보고서에 따르면, 기업들의 우려와 달리 클라우드 환경에서의 사고 대부분은 ‘해커’가 아닌 ‘클라우드 이용자나 운영자의 실수’로 발생하는 것으로 나타났다.

시장조사기업 가트너 역시 2022년까지 일어나는 클라우드 보안 문제의 95% 이상은 고객의 잘못에서 기인할 것이라고 전망하면서 기술적 측면보다 관리적 측면에서의 클라우드 보안을 강조하고 나섰다.

 

클라우드 환경에서 발생하는 사고 사례의 유형은 크게 ▲설정 오류 및 실수 ▲계정 탈취 및 손상 ▲자원 착취 및 손상 등으로 분류할 수 있다.

클라우드 서비스 제공기업(CSP) 및 고객사의 클라우드 서비스 내에서의 설정 오류 및 실수는 가장 빈번하게 일어나는 사고다. 실제로 2019년 9월, 해커가 미국 대형 은행 Capital One의 방화벽 설정 오류를 악용해 AWS에 저장된 1억 600만 명의 고객 개인정보를 해킹했다. 해커는 Tor Browser를 이용해 접근 권한을 얻었고 가상사설망(VPN)을 이용한 것으로 드러났다.

또한, 사용자·관리자의 계정 탈취 후 시스템 오동작 유발, 기업의 업무를 방해하는 등의 보안 사고도 발생할 수 있다. 2018년 7월, 페이스북, 인스타그램, 트위터 및 드롭박스의 오래된 사진 및 게시물을 수집해 과거를 재현하는 SNS 플랫폼 ‘Timehop’가 사용 중인 클라우드 계정에 대한 인증 조치를 취하지 않아 2100만 명의 대량 고객 정보가 유출된 사고가 바로 이러한 유형에 해당한다.

아울러 2018년 2월, 테슬라 공공 클라우드의 쿠버네티스 인스턴스 내에 암호화폐 채굴 악성코드를 설치하고, 크립토재킹 공격으로 클라우드 자원을 암호화폐 채굴에 악용한 사건은 클라우드 인프라 및 컨테이너 취약점을 이용, 악성코드를 배포해 클라우드 자원을 도용한 대표적 사례다.

강동석 국가정보자원관리원 원장은 클라우드의 미래 모습과 보안 보고서에서 “백업 및 소산을 통한 복구 체계 마련, 업무 등급을 사전에 분류하고 주요 업무 서비스에 대한 재해 복구 시스템(Disaster Recovery System, DRS) 구축과 같은 업무 연속성 계획(Business Continuity Plan, BCP)을 마련하고, 주기적으로 점검해야 한다”고 말했다.

아울러, “아무리 성능이 좋은 보안 솔루션이라 할지라도 시간이 지남에 따라 그 효용성은 줄어들기 마련이다. 보안 솔루션에 의지하기보다는 기업의 특성과 규모를 고려해 이에 적합한 정보보호 관리 체계를 수립하고, 정보보호 관리 체계에 의한 지속적인 보안 활동을 프로세스를 정립해야 한다”고 전했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.